查找:                      转第 显示法宝之窗 隐藏相关资料 下载下载 收藏收藏 打印打印 转发转发 小字 小字 大字 大字
【期刊名称】 《时代法学》
《通用数据保护条例》第3条(地域范围)评注
【副标题】 以域外管辖为中心
【英文标题】 Commentary on Article 3(Territorial Scope) of GDPR
【英文副标题】 Focus on Extraterritorial Jurisdiction
【作者】 俞胜杰
【作者单位】 华东政法大学{2017级国际法专业博士研究生}
【分类】 诉讼制度
【中文关键词】 域外管辖;GDPR;法律确定性;属地原则;效果原则
【英文关键词】 extraterritorial jurisdiction; GDPR; legal certainty; territorial principle; effect principle
【文章编码】 1672-769X(2020)02-0094-13【文献标识码】 A
【期刊年份】 2020年【期号】 2
【页码】 94
【摘要】

《通用数据保护条例》的地域管辖范围条款注重域外管辖效果。应当厘清该条款与数据跨境流动规则之关系,前者指明法律在地理空间上的效力范围,后者通过设定法律标准以保证欧盟数据出境的安全性。经营场所标准在立法上实现了属地原则的技术性扩张,目标指向标准则以效果原则为正当性基础主张该法的全球性管辖。欧盟将域内管辖与域外管辖杂糅于一条,造成域外管辖权边界模糊。尽管欧盟数据保护机构为了厘清域外管辖的合理边界,提出应当审慎处理欧盟外数据控制者或处理者与欧盟内经营场所之关系,考虑数据控制者或处理者的不同设立地点对域外适用的影响以及综合考量境外数据控制者向欧盟数据主体提供商品或服务的主观意图等若干规制思路,但仍然难以兼顾域外管辖的稳定性和灵活性问题。中国企业应当高度重视该法第27条中的“代表制度”以及欧盟法院的相关判例,把握该法的规制思路设计数据合规路径。我国立法机关应当借鉴欧盟,根据比例原则,适当扩张《个人信息保护法》的管辖范围,维护我国公民的个人信息安全。

【英文摘要】

The territorial scope clause of GDPR asserts the extraterritorial jurisdiction. We should clarify the relationship between this clause and the rules of trans-border data flow. The former clarifies the scope of legal effectiveness in geographic scope, while the latter guarantees the security of EU data exit by setting legal standards. The establishment criterion has realized the technical expansion of territorial principle in legislation, and the targeting criterion advocates the global jurisdiction of the law on the basis of the effect principle. EU mixed territorial jurisdiction with extraterritorial jurisdiction, which blurs the boundary of extraterritorial jurisdiction. In order to clarify the reasonable boundaries of extraterritorial jurisdiction, EDPB put forward three points. First, the relationship between data controllers or processors outside the EU and establishments within the EU should be carefully handled. Secondly, the impact of different locations of data controllers or processors on extraterritorial application should be considered. Finally, the subjective intention of data controllers outside the EU to offer the goods and service to data subjects should be comprehensively considered. But it is still difficult to take into account the stability and flexibility of extraterritorial jurisdiction. Chinese enterprises should attach great importance to the “representative system” in Article 27 of GDPR and the relevant cases of the European Court of Justice, notice the regulatory methods of GDPR and design the data compliance path. China's legislature should draw lessons from the European Union, expand the jurisdiction of personal information protection law according to the principle of proportionality, and maintain the personal information security of Chinese citizens.

【全文】法宝引证码CLI.A.1289809    
  

2018年5月25日开始生效的《通用数据保护条例》[1] (以下简称《条例》)是在数字经济重塑人类生活的大背景下欧盟数据治理改革的重要立法成果[2],也是迄今为止全球范围内最具影响力的个人数据保护立法之一。

为了对欧盟公民的个人数据予以有效保护,推动数据保护法律框架的现代化,更好地实现建立欧盟数字单一市场的目标,《条例》超越了欧盟成员国个别立法的传统模式,有效地消除成员国国内法上的差异,建立起一套统一的个人数据权利体系、保护标准、执法流程和监管路径。《条例》强调行政监管在欧盟个人数据保护中的特殊功能,从而具有浓厚的公法色彩。

一、《条例》主张域外管辖的理论依据

在国际法视阈下,《条例》第3条(地域范围)通过确立“经营场所标准”(establishment criterion)和“目标指向标准”(targeting criterion),设定了宽泛的地域管辖范围(该条款的中文翻译版本见下文表1)。根据该法第3(1)条确立的“经营场所标准”,只要个人数据控制者或者处理者在欧盟境内设立了经营场所,无论在此场景下产生的数据处理行为是否发生在欧盟境内,该法均有管辖权。此外,《条例》第3(2)条确立了“目标指向标准”,进一步将《条例》的适用范围延伸至欧盟境外企业直接收集、处理或者监控欧盟境内数据主体个人数据的行为。该条款体现出积极扩张个人数据保护域外管辖权的立法意图,这一立法动向值得高度关注。

(一)国内公法域外管辖的理论依据

国内公法的域外管辖现象并不少见,国际法并非绝对禁止一国立法的域外效力。国际法决定了国家可以采取各种形式的管辖权的可允许限度,而国内法规定国家在事实上行使它的管辖权的范围和方式[3]。国际常设法院在1927年的“荷花号案”判决中对有关管辖权所作的权威论断不断为学术界所引述、为司法界所援引。关于国际法是否存在某项规则禁止本国对外国人在国外实施的犯罪行为行使管辖权的问题,国际常设法院认为不存在这样的规则:“国际法不但没有禁止国家把它的法律和法院的管辖权扩大适用于它境外的人、财产和行为,还在这方面给国家留下宽阔的选择余地。这种选择权力只在某些场合受到一些限制性规则的限制,但在其他场合,每个国家在采用它认为最好和最合适的原则方面是完全自由的。”[4]根据“荷花号”案的裁判主旨可概而言之:对于一国而言,国际法对规则无明确禁止即可立法。由此,世界各国在国际法允许的情形下,出于自身实现法律规制目的的考虑,在不同程度上开展国内公法域外管辖的国家实践,曾经先后出现过刑法、反垄断法和证券法等部门法主张域外管辖的情况。

由于各国对域外管辖制度的理解和认识存在分歧,目前对“域外管辖”的概念界定尚未形成共识。联合国国际法委员会曾经在2006年对域外管辖的含义进行界定:“国家主张域外管辖权是在没有国际法有关规则的情况下试图以本国的立法、司法或执行措施管辖在境外影响其利益的人、财产或行为。”[5]国际法上的管辖权种类主要包括属地管辖权、属人管辖权、保护性管辖权和普遍性管辖权。域外管辖并不是一类独立的管辖权,而是主权国家在实践中发展出来的行使管辖权的一种具体方式[6]。

(二)《条例》第3条中的域外管辖类型

《条例》第3(1)条规定了“经营场所标准”:在欧盟境内设有经营场所的数据控制者或数据处理者,只要数据处理行为发生在此经营场所开展活动的场景中,即使实际的数据处理活动不在欧盟境内发生,该数据处理活动也要受本法管辖。“经营场所标准”具有域内管辖和域外管辖的双重面向,通过对“数据处理行为发生在此经营场所开展活动的场景中”进行扩张解释,从而实现将境外企业纳入管辖范围的规制目的。这种解释方法实现了“属地管辖权”的技术性扩张。

该条的第3(2)条规定了“目标指向标准”:本法适用于对欧盟境内的数据主体个人数据的处理行为,该行为由在欧盟境内没有设立经营场所的数据控制者或处理者实施;发生在向欧盟境内的数据主体提供商品或服务的过程中,无论此项商品或服务是否需要数据主体支付对价;或者对数据主体发生在欧盟内的行为进行监控。“目标指向标准”表明,即使某些数据控制者或处理者在欧盟境内没有建立经营场所,只要该数据处理行为对欧盟境内的数据主体产生了实际上的“效果”或“影响”,《条例》仍然有可能对其数据处理行为进行管辖。《条例》以效果原则为正当性基础主张该法的全球性管辖。效果原则是美国法院在反托拉斯案的裁判中发展起来的管辖原则,即国家对外国人在外国所做的,对本国商业产生影响的行为享有管辖权。因为这一原则针对的是外国人而被认为是属地管辖原则的延伸,又由于它的目的是保护国家的重大利益而与保护性管辖相似[7]。将效果原则作为个人数据保护立法的理论依据,其合理性引起了学界质疑。有学者认为,效果原则作为网络空间的管辖权依据过于虚无缥缈,由于经济全球化和网络全球互联,所有国家对网络行为都存在或多或少的联系,各国如果按照这一原则进行立法,管辖权冲突将非常频繁[8]。数据保护领域的管辖权立法还呈现出一个悖论:国际法给各国在数据保护领域的立法留有余地,在不违反国际法的情况下各国立法管辖权不受限制,但是一旦各国扩张管辖范围,将引起国际法层面的管辖权冲突问题。尽管备受指责,但从合法性角度来说,《条例》在立法上主张积极的域外管辖并不违反国际法。由于第3条的规定过于原则和抽象,缺乏法律的确定性和可预见性,有关《条例》域外管辖权的合理性问题,需要在厘清域外管辖的合理边界之后再加以判断。老婆觉得我剪头发浪费钱

(三)《条例》中域外管辖问题的研究价值

从企业合规角度来看,《条例》积极主张域外管辖,企图将发生在境外的数据处理行为纳入管辖范围,这一立法举措增加了欧盟境外的企业(包括中国企业在内)开展“涉欧”个人数据处理业务的合规风险。企业担心一旦违反《条例》,可能面临高额罚款[9]。随着中欧经贸往来日益频繁,中国企业同样高度关注该法的地域管辖范围问题。

此外,从立法层面来看,目前我国正在研究制定《个人信息保护法》[10],是否应当在新法中纳入域外管辖条款成为我国个人信息保护立法过程中的关键问题。欧盟的立法动向提供了有益的域外经验,为立法者的科学决策提供参考。

因此,无论是从中国企业如何有效应对域外立法,还是从中国相关立法如何借鉴域外经验的角度出发,以域外管辖为视角,对《条例》第3条(地域范围)进行评注殊为必要。目前,国内的国际法学者对《条例》的研究热情主要集中在个人数据跨境流动议题,有关《条例》的地域范围和域外管辖方面的研究成果相对较少[11]。

在评注条款的过程中,从国际法角度反思个人数据保护立法主张域外管辖的正当性基础。通过司法判例和立法背景文件来研究《条例》与1995年《欧盟个人数据保护指令》[12] (以下简称《95指令》)之间的内部继承关系。从立法意图和实施效果两个方面以检视地域管辖范围与数据跨境流动规则之间的区别。通过梳理欧盟数据保护机构发布的相关文件,从法律稳定性和灵活性的角度,梳理《条例》域外管辖权的边界,思考《条例》对中国的影响与启示。

二、地域范围条款的立法沿革:从《95指令》到《条例》

根据《条例》鉴于条款(Recital Clause)的第171段,《条例》一经生效,《95指令》同时废止。《95指令》第4条(应适用的国内法)为《条例》第3条(地域范围)所取代。对地域范围条款的立法沿革进行梳理,有助于厘清前后两部法律相关条文的流变关系,并进一步思考管辖权扩张的立法动因。

(一)传承与突破:基于地域范围条款的条文结构分析

《95指令》第4(1)条系该法的地域范围条款。从条文结构和立法功能来看,该条款具有地域范围和冲突规范的双重作用。

一方面,该条款根据“经营场所是否在欧盟境内”作为分类标准,明确了何种个人数据的处理行为将落入《95指令》的地域管辖范围(参见表1)。该条包含了是否应当适用欧盟成员国法的两项衡量标准:其一,根据数据控制者“经营场所”的具体位置确定欧盟是否对此拥有管辖权,即“经营场所标准”(表1中《95指令》第4(1)a条);其二,以数据处理为目的而使用的“设备”(equipment)的具体位置确定欧盟对此是否拥有管辖权,即“设备使用标准”(表1中《95指令》第4(1)c条)。另一方面,由于《95指令》不同于是条例(Regulation)性质的欧盟法律,它并不为个人创设权利和义务,一般而言,指令的调整对象往往是成员国[13]。因此,第4条在很大程度上同时发挥了冲突规范的功能,主要用于缓解和消弭个人数据保护层面各国法律冲突[14],在明确具体行为将会落入《95指令》的地域管辖范围之后,进一步解决究竟适用哪一成员国的个人数据保护实体性规则的准据法问题。

表1 《95指令》与《条例》有关地域范围规定的条文对照




  ······

法宝用户,请登录后查看全部内容。
还不是用户?点击单篇购买;单位用户可在线填写“申请试用表”打遮阳伞就显得很娘申请试用或直接致电400-810-8266成为法宝付费用户。
【注释】                                                                                                     
©北大法宝:(www.pkulaw.cn)专业提供法律信息、法学知识和法律软件领域各类解决方案。北大法宝为您提供丰富的参考资料,正式引用法规条文时请与标准文本核对
欢迎查看所有产品和服务。法宝快讯:如何快速找到您需要的检索结果?    法宝V5有何新特色?
扫码阅读
本篇【法宝引证码CLI.A.1289809      关注法宝动态:  

法宝联想
【相似文献】

热门视频更多